Phishing y redes sociales son las principales fuentes de las amenazas de ingeniería social y se basan en la manipulación de los usuarios para que realicen determinados tipos de acciones, revelen sus contraseñas u otro tipo de información, más que en el empleo de técnicas de hacking. Así y frente a los ataques tradicionales, cuyo objetivo eran personas con información delicada o con acceso a la misma, los hackers recurren en la actualidad a una amplia gama de técnicas y aplicaciones para obtener información personal y profesional y detectar el eslabón más débil en una organización.

El coste empresarial de estos incidentes de seguridad, establece el informe, se sitúa entre 18.000 y 73.000 euros. Por esta razón, también anima a las empresas a combinar estrategias tecnológicas y de concienciación para minimizar la frecuencia y el coste de los ataques.

Costes de los ataques de ingeniería social

“Los resultados de la encuesta muestran que casi la mitad de las empresas encuestadas son conscientes de que han sufrido ataques de ingeniería social. Sabiendo que muchos de estos ataques pasan desapercibidos, debemos tener en cuenta que este es un vector de ataque muy amplio y peligroso que no debe ser ignorado”, señala Oded Gonda, vicepresidente de productos de seguridad de red de Check Point Software Technologies.

Aumentan las alternativas de ataque

Si bien las técnicas de ingeniería social confían en aprovecharse de las vulnerabilidades de una persona, la omnipresencia de la Web 2.0 y las tecnologías móviles también han incrementado las alternativas de cara a acceder a información personal, creando nuevas vías de penetración para la ejecución de estos ataques concretos. Los nuevos empleados (60%) y contratistas (44%), menos familiarizados con las políticas de seguridad corporativas, fueron señalados como los colectivos más susceptibles de convertirse en víctimas de estas amenazas, seguidos por personal de contratas, administrativos, recursos humanos y el departamento de informática.

“A fin de cuentas, las personas son un componte crítico del proceso de seguridad, en tanto y en cuanto son susceptibles ser víctimas de los engaños de los criminales y cometer errores que pueden llevar a infecciones por malware o pérdidas de datos no intencionadas. Muchas organizaciones no ponen suficiente empeño en involucrar a sus usuarios, cuando, de hecho, los empleados deberían ser la primera línea de defensa", añade Gonda. “Una buena manera de hacer que los usuarios sean más conscientes de su importancia es involucrarlos en el proceso de seguridad, otorgándoles capacidades para evitar y remediar incidentes de seguridad en tiempo real.”

Principales Conclusiones de Informe

• Las amenazas son reales – El 86% de los profesionales informáticos y de seguridad son conscientes o muy conscientes de los riesgos que comportan los ataques de ingeniería social. Aproximadamente, el 48% de las empresas encuestadas admite haber sufrido más de 25 ataques en los dos últimos años.
• Estos ataques salen caros – Los encuestados cifran entre 18.000 y 73.000 euros el coste de los incidentes de seguridad, teniendo en cuenta costes de disrupción de negocio, retrasos con clientes, pérdida de ingresos y daños de marca.
• Las fuentes más comunes de ataques de ingeniería social – Los correos electrónicos de phishing ocupan el primer puesto en el ranking (47%), seguidos de las redes sociales, donde se expone información personal y profesional (39%) y dispositivos móviles inseguros (12%).
• El ánimo de lucro es la principal motivación de estos ataques (51%) – seguido por el acceso a información propietaria (46%), la obtención de ventajas competitivas (40%) y la venganza (14%).
• Los nuevos empleados son más susceptibles a las técnicas de ingeniería social – Según los encuestados, los nuevos empleados son los más expuestos a estos riesgos, seguidos por los contratistas (44%), secretarios/as de dirección (38%), recursos humanos (33%), altos ejecutivos (32%) y personal informático (23%). Independientemente de su función en la organización, tanto la implementación de programas de formación adecuados, como la concienciación, son componentes críticos en cualquier política de seguridad.
• Falta de formación proactiva para evitar los ataques – El 34% de las empresas carece de políticas de seguridad o programas de formación para prevenir que sus usuarios sean víctimas de las técnicas de ingeniería social, si bien el 19% tiene previsto implementarlos.

Frecuencia de los ataques de ingeniería social

Para alcanzar el grado de protección que los entornos informáticos modernos demandan, el concepto de seguridad tiene que ampliarse, otorgándole la misma consideración que a cualquier otro proceso efectivo de negocio, en lugar de verla como una mera colección de tecnologías dispares. 3D Security de Check Point ayuda a las empresas a implantar un esquema de seguridad que trasciende la tecnología, educando a los empleados involucrándoles en el proceso. “Así como los empleados cometen errores y son responsables de la aparición de amenazas o vulnerabilidades en la organización, también pueden desempeñar un papel crucial en la mitigación de los riesgos”, añade Gonda.

Gracias a la tecnología UserCheck de Check Point, las empresas pueden informar y educar a sus empleados acerca de las políticas corporativas a la hora de acceder a la red, los datos y las aplicaciones corporativas—ayudando a las empresas a minimizar la frecuencia, los riesgos y los costes asociados a las técnicas de ingeniería social.

“La seguridad no es sólo un problema para los administradores informáticos; sino que tiene que ser parte de las funciones de cada perfil profesional. A medida que las amenazas a las que se enfrenta la industria se hacen más sofisticadas y especializadas, la colaboración de los usuarios incrementa el grado de inteligencia y de efectividad de las tecnologías de seguridad,” concluye Gonda.